Cloak and Dagger

Gli utenti Android di tutto il mondo sono spesso bersagli di attacchi da parte di vari cyber-criminali, che puntano ad ottenere diverse informazioni. Si è ora diffuso una nuova tipologia di attacco chiamata Cloak and Dagger: ciò che rende tale programma forte e fastidioso, è la capacità di funzionare senza che l’utente veda nulla, installando applicazioni e registrando informazioni specifiche da remoto.

Cloak and Dagger è un problema per tutti

Non è di certo la prima volta che gli utilizzatori di dispositivi Android si trovano attaccati costantemente, né che un attacco sia praticamente invisibile all’utilizzatore del dispositivo. Cloak and Dagger non è niente di nuovo, ma non per questo l’utente medio può eliminare la minaccia facilmente. Infatti, esso è uno strumento in grado di registrare le nostre battiture e di installare applicazioni in remoto. Per essere più specifici, questo nuovo exploit utilizza un bug trovato nell’interfaccia utente Android e possiamo osservare dal sito “ufficiale” dei ricercatori come esso opera. Ancora più importante è che nessuna di queste autorizzazioni richiede l’accesso di root.

I ricercatori sono molto preoccupati per questo exploit, considerando che il sistema operativo Android concede automaticamente una delle due autorizzazioni necessarie al suo funzionamento automaticamente, supponendo che il software sia stato scaricato in primo luogo dal negozio Google Play. Inoltre, gli aggressori possono facilmente ingannare gli utenti a concedere la seconda autorizzazione. Tutto ciò che serve è nascondere uno strato di attività dannosa sotto quello che l’utente vede sul suo schermo: così facendo, le probabilità di successo aumentano esponenzialmente.

Cloak and Dagger overlay
Un esempio dell’attività dannosa mascherata con degli overlay, su schermo

Questo è ciò che rende Cloak and Dagger estremamente pericoloso. Gli utenti colpiti da questo exploit non noteranno un minimo errore, infatti apparentemente sembrerà che il dispositivo funzioni normalmente. Tuttavia, è il software che viene eseguito dietro le quinte a destare grande preoccupazione. La registrazione di informazioni dal nostro dispositivo e l’installazione remota di alcune applicazioni sul telefono sono solo alcune delle gravi conseguenze che potrebbero verificarsi.

I ricercatori di sicurezza stanno cercando di capire come l’applicazione può essere utilizzata per sbloccare il telefono e interagire con altre applicazioni anche quando lo schermo del dispositivo è completamente spento. Non è chiaro che cosa un hacker possa fare con questo exploit, anche se sappiamo che l’attività dannosa rimarrà nascosta dall’utente. In questo modo i nostri hacker potrebbero completamente cancellare ogni traccia del loro passaggio, impedendo dunque all’utente di capire cosa sia successo realmente.

Per nostra fortuna, Google ha tenuto conto di questo problema e i suoi ingegneri sono già all’opera per trovare una soluzione, per far in modo che l’ecosistema Android sia sempre sicuro. Google Play Protect è stato aggiornato di recente per rilevare e impedire l’installazione di applicazioni che cercano di eseguire codici a nostra insaputa sul nostro dispositivo Android.